[发明专利]基于Kubernetes的应用认证代理方法及系统有效
| 申请号: | 202110866762.X | 申请日: | 2021-07-29 |
| 公开(公告)号: | CN113852596B | 公开(公告)日: | 2023-07-11 |
| 发明(设计)人: | 王永渤;王慧;王锟;浦超 | 申请(专利权)人: | 浪潮软件科技有限公司 |
| 主分类号: | H04L9/40 | 分类号: | H04L9/40;H04L9/32;G06F9/455 |
| 代理公司: | 北京路浩知识产权代理有限公司 11002 | 代理人: | 肖艳 |
| 地址: | 250100 山东省济南市高*** | 国省代码: | 山东;37 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 基于 kubernetes 应用 认证 代理 方法 系统 | ||
本发明提供基于Kubernetes的应用认证代理方法及系统,包括:确定接入Kubernetes云平台的新应用,由所述新应用的基本信息确定基础权限;基于基础权限启用认证代理,确定所述新应用的认证权限;待认证完成,对所述新应用进行鉴权,获得所述新应用的鉴权结果。本发明提出的基于Kubernetes的应用认证代理,能够直接对接IAM系统,方便应用接入Kubernetes云平台,认证代理为接入应用提供了灵活方便的统一认证和鉴权服务,支持高并发场景。
技术领域
本发明涉及云计算技术领域,尤其涉及基于Kubernetes的应用认证代理方法及系统。
背景技术
在大数据应用场景中,随着Kubernetes云平台部署发布的应用越来越多,为统一管理用户信息,统一认证鉴权,云平台引入了统一身份管理和访问控制系统(IAM,Identityand Access Management,身份识别与访问代理)。各应用与IAM系统对接方案有如下几种:
1)各应用分别对接IAM系统;
2)使用认证代理,由认证代理与IAM系统对接。
第1)种方案需要协调各应用开发人员,调整修改认证模块,并会造成各应用与IAM系统耦合,使IAM系统升级维护困难。
目前,在Kubernetes云平台上,采用第2)种使用代理方式与IAM系统对接,可以使用Istio的认证模块,但该方案深度依赖于Istio,开发成本高、灵活性差,且部分认证方式暂未实现;也可以使用开源的认证代理,但开源的认证代理需要进行二次开发,且无法保障更新、修复进度。
发明内容
本发明提供基于Kubernetes的应用认证代理方法及系统,用以解决现有技术中存在的缺陷。
第一方面,本发明提供基于Kubernetes的应用认证代理方法,包括:
确定接入Kubernetes云平台的新应用,由所述新应用的基本信息确定基础权限;
基于基础权限启用认证代理,确定所述新应用的认证权限;
待认证完成,对所述新应用进行鉴权,获得所述新应用的鉴权结果。
在一个实施例中,所述确定接入Kubernetes云平台的新应用,由所述新应用的基本信息确定基础权限,包括:
由身份识别与访问代理IAM系统管理员获取所述新应用的所述基本信息,所述IAM系统管理员基于所述基本信息配置所述基础权限。
在一个实施例中,所述基于基础权限启用认证代理,确定所述新应用的认证权限,包括:
确定所述新应用与IAM系统的认证接口,基于预设认证方式获得所述认证权限。
在一个实施例中,所述确定所述新应用与IAM系统的认证接口,基于预设认证方式获得所述认证权限,包括:
若检测到所述新应用的请求携带令牌,则调用所述IAM系统的令牌认证接口进行令牌校验鉴权;
若检测到所述新应用的请求携带密钥,则调用所述IAM系统的密钥认证接口进行密钥校验鉴权;
若检测到所述新应用的请求携带用户名,则调用所述IAM系统的用户名接口进行用户名密码校验鉴权;
若任一认证模式认证失败,则向用户返回认证失败信息。
在一个实施例中,所述待认证完成,对所述新应用进行鉴权,获得所述新应用的鉴权结果,包括:
从所述新应用中获取请求资源信息,从Redis集群中获取所述请求资源信息中可访问的用户信息和角色配置;
解析认证过程中的令牌,获取所述用户信息和所述角色配置;
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于浪潮软件科技有限公司,未经浪潮软件科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202110866762.X/2.html,转载请声明来源钻瓜专利网。
